Vous êtes sur la page 1sur 17

F E D E R AT I O N O F

E U RO P E A N R I S K
M A NAG E M E N T
A S S O C I AT I O N S

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

Introduction
Le Cadre de Rfrence de la Gestion des
Risques est l'uvre d'un groupe de travail
compos des principaux organismes de la
gestion des risques au Royaume Uni : l'
Institute of Risk Management (IRM),
l'Association of Insurance and Risk Managers
(AIRMIC) et le National Forum for Risk
Management in the Public Sector (ALARM).
Le groupe de travail a par ailleurs consult et
associ ses travaux de nombreux
professionnels ou enseignants concerns par la
gestion des risques.
La gestion des risques est une discipline en
dveloppement rapide. De nombreuses
dfinitions et diffrents points de vues existent
sur ce qu'elle reprsente ou implique ainsi que
sur la manire de la conduire. Une forme de
cadre de rfrence est donc ncessaire pour
prciser :
la terminologie,
le processus de dploiement de la gestion
des risques,
lorganisation de la gestion des risques,
lobjectif de la gestion des risques.
Il est important de souligner que ce cadre de
rfrence prend en compte le fait que certains
risques comportent la fois une part positive
et une part ngative.
La gestion des risques concerne les entreprises
prives et les organismes publics, mais aussi
toutes les organisations dont l'activit entrane
des consquences court ou long terme.

Menaces et opportunits s'valueront non


seulement du point de vue de lactivit ellemme mais aussi du point de vue de
lensemble des parties prenantes qui
pourraient tre affectes.
Il existe de nombreuses manires pour
atteindre les objectifs de la gestion des risques
et il serait impossible de les numrer toutes
ici.
C'est pourquoi ce cadre de rfrence na pas
vocation tre prescripteur ni poser les
bases dun processus de certification. En
revanche, les organisations pourront s'appuyer
sur les diffrentes composantes de ce cadre de
rfrence pour rendre compte de leur
conformit. Ce cadre de Rfrence reprsente
les meilleures pratiques actuelles l'aune
desquelles les organisations peuvent se
mesurer.
Autant que possible, le cadre de rfrence
utilise la terminologie prsente par
l'International Organisation for Standardisation
(ISO) dans son rcent document ISO/IEC Guide
73 Risk Management Vocabulary Guidelines
for use in standards.
Compte tenu des volutions rapides dans ce
domaine, les auteurs du prsent document
apprcieraient les observations ou
commentaires des organisations qui
l'utiliseront. Il est prvu de le faire voluer la
lumire des meilleures pratiques.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

1. Risque
La norme ISO/IEC Guide 73 dfinit le risque
comme la combinaison de la probabilit dun
vnement et des consquences de celui-ci.
Le simple fait d'entreprendre ouvre la
possibilit d'vnements dont les
consquences sont potentiellement bnfiques
(ala positif ) ou prjudiciables (ala ngatif ).
On s'accorde de plus en plus reconnatre que
la gestion du risque sintresse celui-ci sous
les deux aspects de l'ala positif et de l'ala
ngatif. C'est pourquoi le prsent document
adopte les deux perspectives.
Dans le domaine de lhygine et la scurit ou
de la sret, les consquences sont en gnral
uniquement ngatives et donc la gestion de ce
type de risque est centre sur leur prvention
et leur attnuation.

2. Gestion du risque
La gestion du risque fait partie intgrante de la
mise en oeuvre de la stratgie de toute
organisation. Cest le processus par lequel les
organisations traitent mthodiquement les
risques qui s'attachent leurs activits et
recherche ainsi des bnfices durables dans le
cadre de ces activits, considres
individuellement ou bien dans leur ensemble.
La gestion du risque est centre sur
l'identification et le traitement des risques. Elle
a pour objectif d'ajouter le maximum de valeur
durable chaque activit de l'organisation. Elle
mobilise la comprhension des alas positifs
ou ngatifs qui drivent de tous les facteurs
qui peuvent affecter lorganisation. Elle

augmente la probabilit de succs et rduit la


probabilit dchec et lincertitude qui s'y
attache.
La gestion du risque devrait tre un processus
continu damlioration qui commence avec la
dfinition de la stratgie et se poursuit avec
l'excution de celle-ci. Elle devrait traiter
systmatiquement de tous les risques qui
entourent les activits de lorganisation, que
celles-ci soient passes, prsentes ou surtout
futures.
La gestion du risque doit faire partie intgrante
de la culture de lorganisation et disposer
d'une politique efficace et d'un programme
dactions soutenu et suivi par la direction au
plus haut niveau. Lors de son excution la
stratgie de gestion du risque doit se dcliner
en objectifs tactiques et oprationnels et ce
titre la description de poste de chaque
employ(e) ou responsable doit rappeler le rle
de cette personne dans la gestion des risques.
Ceci encourage la transparence des
responsabilits, la mesure des performances et
leur sanction. Lefficacit oprationnelle est
alors promue tous les niveaux.
2.1 Facteurs Externes et Internes
Les risques auxquels fait face une organisation
sont dorigine interne ou externe.
Le diagramme au verso propose des exemples
des principaux risques, et montre que certains
d'entre eux rpondent des facteurs la fois
internes et externe : de ce fait ces zones se
recoupent. Le classement des risques peut tre
affin en distinguant par exemple les risque
purs et ceux dordre stratgique, financier,
oprationnel et cetera.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

2.1 Exemples de facteurs Externes et Internes

E EXTERNE
ORIGIN

RISQUES FINANCIERS

RISQUES STRATEGIQUES

TAUX D'INTERET
TAUX DE CHANGE
CREDIT

COMPETITION
CHANGEMENTS DES CLIENTS
CHANGEMENTS DANS L'ACTIVITE
DEMANDE DES CLIENTS

FUSION ACQUISITION
INTEGRATIONS

LIQUIDITE &
CASH FLOW

RECHERCHE & DEVELOPPEMENT


CAPITAL INTELLECTUEL

ORIGINE INTERNE
SYSTEME DE CONTROLE
DES COMPTES
SYSTEMES D'INFORMATION
RECRUTEMENT
CHAINE D'APPROVISIONNEMENT

EMPLOYES
MOBILIER
BIENS & SERVICES

REGLEMENTATIONS
CULTURE
COMPOSITION DE
L'INSTANCE DIRIGEANTE

CONTRATS
EVENEMENTS NATURELS
FOURNISSEURS
ENVIRONNEMENT

RISQUES OPERATIONNELS

PERILS

O RIGI

NE EXTERNE

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

2.2 Le Processus de gestion des Risques

Objectifs stratgiques
de lorganisation

La gestion du risque protge le patrimoine de


lorganisation et cre de la valeur pour celle-ci
et ses parties prenantes en :

Apprciation du risque

fournissant un cadre mthodologique qui


permet toute activit future dtre mise en
place de faon cohrente et matrise,

Evaluation du risque
Compte-rendu sur le risque
Menaces et opportunits

Audit Formel

Modification

Analyse du risque
Identification des risques
Description des risques
Estimation du risque

Dcision

amliorant le processus des dcisions, leur


planification et leur hirarchisation par une
comprhension exhaustive et structure des
activits de lorganisation, de la volatilit
de ses rsultats et par lanalyse des
opportunits ou menaces sur ses projets,
contribuant loptimisation de
lutilisation/allocation du capital et des
ressources dans lorganisation,
rduisant la volatilit dans les secteurs non
essentiels de lorganisation,

Traitement du risque

protgeant et augmentant le patrimoine et


limage de marque de lorganisation,

Compte-rendu sur
le risque rsiduel

dveloppant et soutenant le potentiel des


employs et le capital de connaissance de
lorganisation,

Suivi

optimisant lefficience oprationnelle.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

3. Apprciation du risque
Lapprciation du risque est dfinie par le Guide
ISO/IEC 73 comme le processus gnral
danalyse du risque et dvaluation du risque.
(cf. appendice)

4. Analyse du risque
4.1 Identification des risques
Lidentification des risques vise identifier
lexposition dune organisation lincertitude. Elle
requiert une connaissance prcise de
lorganisation, des marchs o celle-ci opre, de
son environnement juridique, social, politique et
culturel. Elle requiert galement de dvelopper
une solide comprhension de ses objectifs
stratgiques et oprationnels, des facteurs
critiques de succs et des menaces et
opportunits qui sy rapportent.
Lidentification des risques requiert une approche
mthodique pour garantir que chaque activit
significative de lorganisation a t identifie et
que chaque risque qui en dcoule a bien reu une
dfinition. Toute volatilit associe ces activits
sera identifie et classe dans une catgorie.
Les activits et les dcisions de lorganisation
peuvent tre classes dans un ventail de
catgories, dont par exemple:
stratgique : concerne les objectifs
stratgiques long terme de lorganisation;
peut tre affecte par des facteurs tels que
disponibilit des capitaux, risques politiques
ou souverains, changements lgaux et
rglementaires, rputation et changements
dans lenvironnement matriel,
oprationnelle : concerne les questions
quotidiennes auxquelles lorganisation est
confronte alors quelle poursuit ses objectifs
stratgiques,
financire : concerne la gestion et la matrise
efficace des finances de lorganisation, et les
effets de facteurs externes comme la
disponibilit du crdit ou encore les
fluctuations des taux de change, des taux
dintrts ou encore dautres rfrences de
march,

gestion des connaissances : concerne la


gestion et de la matrise efficace des
connaissances et des savoirs, de leur
production, de leur protection, et de leur
communication; cette catgorie peut tre
affecte par des facteurs externes comme
lusage non autoris ou la violation de
proprit intellectuelle, les pannes de secteur
lectriques ou encore lapparition de
technologies concurrentes; au nombre des
facteurs internes figurent les dfaut de
fonctionnement informatique ou la perte de
personnes clef,
conformit : concerne entre autres lhygine,
la scurit et lenvironnement, les lois sur la
publicit et la protection des consommateurs,
la protection des donnes, les pratiques en
matire demploi et les questions
rglementaires.
Mme si lidentification des risques peut tre
mene par des conseils externes, une approche
interne sera probablement plus efficace si elle est
dote d'un ensemble doutils et de mthodes
cohrents, coordonns et bien communiqus (cf.
appendice, page 14). Il est essentiel que les
acteurs internes soient les "propritaires" du
processus de gestion des risques.
4.2 Description des Risques
La description des risques consiste prsenter
les risques identifis, dans format structur
comme par exemple un tableau. Le tableau de
description des risques 4.2.1 peut faciliter la
description et lvaluation de certains risques. La
structure de ce format sera conue avec soin pour
sassurer que les risques sont bien identifis,
dcrits et apprcis exhaustivement et avec
prcision. En examinant les consquences et la
probabilit de chaque risque prsent dans le
tableau, il devrait tre possible de dterminer les
risques clefs qui doivent tre analyss plus en
dtail. Lidentification des risques lis aux
activits conomiques et la prise de dcision
peut recourir des catgories comme
"stratgique", "projet/tactique" ou encore
"oprationnel". Il est important dintgrer la
gestion des risques dans chaque projet
spcifique ds sa conception et pendant toute sa
dure de vie.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

4.2.1 Table - Description des Risques

1. Nom du Risque
2. Porte du Risque

description qualitative des vnements, taille, type, nombre et


interdpendances

3. Nature du Risque

En gnral stratgique, oprationnelle, financire, lie aux


connaissances ou la conformit

4. Parties prenantes

Parties prenantes et leurs attentes

5. Quantification du Risque Importance et Probabilit


6. Tolrance/Apptence
pour le Risque

Perte potentielle et impact financier du risque


Valeur risque
Probabilit et amplitude des gains/pertes potentielles
Objectif(s) de la matrise des risques et niveau dsir de performance

7. Traitement du risque &


Mcanismes de matrise

Principaux moyens par quoi le risque est actuellement gr


Degr de confiance dans les moyens de matrise en place
Identification des protocoles pour la surveillance des risques et leur
examen

8. Actions damlioration
possibles

Recommandations pour rduire le risque

9. Dveloppement de la
Stratgie et de Politique
face au Risque

Identification de la fonction responsable de dvelopper la stratgie et


la politique face ce risque

4.3 Estimation du risque


Lvaluation du risque peut tre quantitative,
semi-quantitative ou qualitative en termes de
probabilit doccurrence et de consquences
possibles.
Par exemple, les consquences la fois en
terme de menaces (ala ngatif ) et
dopportunits (ala positif ) peuvent tre
qualifies de fortes, moyennes ou faibles (table
4.3.1). La probabilit peut se qualifier de haute,
moyenne ou faible mais exige diffrentes
dfinitions selon qu'il s'agit de menace ou
d'opportunit (voir les tableaux 4.3.2 et 4.3.3).

Des exemples figurent dans les tableaux au


verso. Les mesures les plus adaptes pour les
consquences et les probabilits peuvent
varier dune organisation a une autre.
Par exemple, beaucoup dorganisations jugent
quvaluer les consquences et les probabilits
comme fortes, moyennes ou faibles selon une
matrice 3x3 rpond tout fait leurs besoins.
Dautres organisations prfreront une matrice
5x5.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

Table 4.3.1 Consquences - Menaces et Opportunits

Fort

Impact financier sur lorganisation susceptible dexcder x.


Impact significatif sur la stratgie ou les activits oprationnelles de lorganisation.
Parties prenantes fortement proccupes.

Moyen

Impact financier sur lorganisation compris entre y et x.


Impact modr sur la stratgie ou les activits oprationnelles de lorganisation.
Parties Prenantes modrment proccupes.

Faible

Impact financier sur lorganisation susceptible infrieur y


Faible impact sur la stratgie ou les activits oprationnelles de lorganisation.
Parties Prenantes faiblement proccupes

Table 4.3.2 Probabilit dOccurrence - Menaces

Estimation

Description

Indicateurs

Forte (Probable)

Susceptible de survenir chaque


anne ou plus de 25% de chances
de survenir.

A le potentiel de survenir plusieurs


fois dans la priode considre (par
exemple dix ans).
Sest produit rcemment.

Modre
(Possible)

Susceptible de survenir dans les dix


prochaines annes ou moins de
25% de chances de survenir.

Pourrait survenir plus dune fois dans


la priode considre (par exemple
dix ans).
Peut tre difficile matriser en
raison dinfluences externes.
Y -a-t-il un historique de survenance ?

Faible
(peu probable)

Peu susceptible de survenir dans


les dix prochaines annes ou moins
de 2% de chances de survenir.

Ne sest pas encore produit.


Peu susceptible de survenir.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

Table 4.3.3 Probabilit dOccurrence - Opportunits

Estimation

Description

Indicateurs

Forte (Probable)

Issue favorable probable dans


lanne ou plus de 75% de chances
de survenir.

Opportunit claire et
raisonnablement certaine, devant se
raliser court terme sur la base des
processus de gestion actuels.

Modre
(Possible)

Perspective raisonnablement
dissue favorable dans lanne ou
entre 25% et 75% de chances de
survenir.

Opportunits qui ne sont pas hors


datteinte mais demande une gestion
attentive.
Opportunits pouvant survenir en
dpassement des rsultats planifis.

Faible
(peu probable)

Quelques chances dissue favorable


dans lanne ou moins de 2% de
chances de survenir.

Opportunit ventuelle qui demande


encore tre investigue
compltement par la direction.
Opportunit faible probabilit de
succs compte tenu des ressources
qui lui sont alloues actuellement.

4.4 Mthodes et techniques danalyse du


risque
Un ventail de techniques peuvent servir
analyser les risques. Elles peuvent tre
spcifiques l'ala positif ou l'ala ngatif
ou bien au contraire convenir aux deux. (Voir
Appendice).
4.5 Profil de risque
Le rsultat de lanalyse du risque peut servir
produire un profil de risque qui donne une note
dimportance chaque risque et permet ainsi
de dterminer les risques qui demandent un
effort de traitement prioritaire. Un tel profil

classe les risques identifis et met ainsi en


vidence leurs importances relatives.
Ce processus fournit la correspondance entre
les risques et les secteurs dactivits, dcrit les
principaux moyens de matrise des risques en
place et indique les secteurs o le niveau
dinvestissement dans la matrise du risque
pourrait tre augment, diminu ou reproportionn.
Une bonne dfinition des responsabilits aide
faire reconnatre clairement le/la
propritaire de chaque risque et assurer
que les ressources de gestion appropries sont
correctement alloues.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

5. Evaluation du risque
Aprs avoir analys les risques, il est
ncessaire de comparer les risques estims
aux critres de risque que lorganisation a
tablis. Les critres de risque peuvent
comprendre les cots et bnfices associs, les
contraintes juridiques, les facteurs socioconomiques et environnementaux, les
proccupations des parties prenantes, et
cetera. Par consquent lvaluation du risque
aide dcider de limportance de chaque
risque spcifique pour lorganisation, et
dterminer sil convient daccepter ce risque en
l'tat ou bien de le traiter.

Lefficacit du systme de contrle interne se


mesure au degr dlimination ou de rduction
du risque que procurent les mesures de
matrise proposes.
Lefficacit conomique du systme de
contrle interne dpend du rapport entre les
cots dimplmentation de celui-ci et les
bnfices attendus de la rduction du risque.
Pour valuer un projet de dispositif de matrise
des risques, il convient de mesurer et de
comparer :
leffet conomique potentiel si aucune
mesure nest prise,
le cot de laction (ou des actions)
propose(s).

6. Traitement du risque
Le processus de traitement du risque consiste
slectionner et mettre en place des mesures
propres modifier le risque. Le traitement du
risque a pour principales composantes la
matrise et l'attnuation du risque, mais il ne
sy limite pas et stend entre autres
lvitement, au transfert et son financement
du risque, et cetera.
NOTE: Dans ce cadre de rfrence, le
financement du risque fait rfrence aux
mcanismes (par exemple programmes
dassurance) de financement des
consquences financires du risque. En
gnral le terme de financement du risque ne
se rapporte pas au financement de la mise en
place du traitement du risque (comme dfini
par le guide 73 dISO/IEC).
Tout systme de traitement de risque doit
assurer au minimum :
le bon fonctionnement de lorganisation,
lefficacit du systme de contrle interne,
la conformit avec les lois et les
rglements.
Le processus danalyse de risque aide au bon
fonctionnement de lorganisation en identifiant
les risques qui exigent lattention des
responsables. Ceux-ci devront dterminer les
actions de matrise du risque qui sont
prioritaires en terme de bnfice potentiel pour
lorganisation.

Invariablement ceci demande des informations


et des hypothses plus dtailles que celles
dont on dispose dans limmdiat.
Tout dabord il convient dtablir le cot de
mise en place, avec une certaine prcision
dans la mesure o ce chiffre devient
rapidement la rfrence de base pour la
mesure de la rentabilit du dispositif. Il
convient galement dvaluer la perte
escompte si les mesures proposes ne sont
pas prises. Aprs comparaison, les
responsables peuvent dcider ou non de
mettre en place les mesures de matrise du
risque tudies.
La conformit avec les lois et les rglements ne
peut pas se discuter. Une organisation doit
comprendre les lois auxquelles elle est
soumise et doit mettre en place un systme de
contrle pour sassurer de sa conformit. Une
certaine flexibilit nest possible que lorsque le
cot de rduction dun risque est en
disproportion totale avec celui-ci.
Une mthode pour se protger financirement
contre limpact du risque rside dans le
financement du risque, qui comprend
lassurance. Cependant, il faut noter que
certaines pertes sont non-assurables comme
par exemple certains cots lis la sant, aux
conditions de travail, la sret ou aux
incidents environnementaux, qui peuvent
comporter des atteintes au moral du personnel
et la rputation de lorganisation.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

10

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

7. Compte-rendu et
Communication relatifs au
risque

progrs vers les objectifs. Ces indicateurs


doivent permettre didentifier les
dveloppements qui ncessitent une
intervention (par exemple : prvisions et
budgets),

7.1 Compte rendu Interne


Le processus de gestion des risques fournit des
informations diffrentes aux diffrents niveaux
de lorganisation.
L'instance dirigeante devrait :
connatre les risques les plus significatifs
auxquels lorganisation fait face,
connatre les effets potentiel de la non
ralisation des fourchettes de performance
prvues sur la valeur actionnariale,
s'assurer que le niveau de sensibilisation
aux risques est appropri dans toute
lorganisation,

disposer des systmes qui permettent de


faire connatre les carts par rapport aux
budgets et aux prvisions un rythme
suffisant pour permettre les ractions
appropries,
rendre compte systmatiquement et
promptement aux responsables de
lorganisation tout nouveau risque ou chec
des mesures de matrise des risques
existantes.
Les individus devraient :
comprendre leur responsabilit pour
chaque risque individuel,

savoir comment lorganisation grerait une


crise,
connatre le degr de la confiance des
parties prenantes de lorganisation,
savoir comment grer les communications
avec la communaut des investisseurs s'il y
a lieu,
tre assur que le processus de gestion des
risques fonctionne efficacement,
produire une politique de gestion des
risques crite qui dfinisse lapproche
gnrale et les responsabilits.
Les Units Oprationnelles devraient :
se tenir informes des risques qui relvent
de leur responsabilit, de leurs impacts
possibles sur dautres secteurs et
inversement de leffet des risques dautres
secteurs sur elles-mmes,
disposer dindicateurs de performance qui
leur permettent, de surveiller les activits
clef, les donnes financires clef et les

comprendre comment ils peuvent


contribuer lamlioration continue de la
gestion des risques,
comprendre que la gestion et la conscience
des risques prennent une part dterminante
dans la culture de lorganisation,
Rendre compte systmatiquement et
rapidement aux responsables de
lorganisation de tout nouveau risque ou de
tout chec des mesures de matrise
existantes.
7.2 Compte-Rendu Externe
Une organisation a besoin de rendre compte
ses parties prenantes rgulirement, sur ses
politiques de gestion des risques et leur
efficacit du point de vue de ses objectifs.
De plus en plus les parties prenantes attendent
quune organisation fasse la preuve de sa
bonne performance non financire dans des
domaines tels que les affaires de la socit
civile, les droits de lhomme, lemploi, la sant,
lhygine la scurit et lenvironnement.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

11

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

Un bon gouvernement dentreprise exige des


organisations une approche mthodique de la
gestion des risques qui :
protge les intrts de leurs parties
prenantes,
assure que l'instance dirigeante exerce ses
fonctions de direction de la stratgie, de
cration de valeur et de surveillance de la
performance de lorganisation,
s'assurer que des dispositifs de matrise de
la gestion sont en place et fonctionnent
correctement.
Les moyens mis en place pour le compte rendu
officiel sur la gestion des risques doivent tre
clairement exposs et tenues la disposition
des parties prenantes.

8. Structure et Administration
de la gestion du risque
8.1 Politique de gestion du Risque
La politique de gestion des risques dune
organisation doit prsenter son apptence
pour le risque et son approche de la gestion
des risques. Ce document devrait galement
dfinir les responsabilits pour la gestion des
risques dans toute lorganisation.
De plus ce texte fera rfrence toute exigence
lgale de compte-rendu, comme par exemple
en matire dhygine et de scurit.
Le processus de gestion des risques
saccompagne dun ensemble intgr doutils
et de techniques valables aux diffrents stades
des activits de lorganisation.

Le compte-rendu officiel doit traiter :


des mthodes de matrise et en particulier
de lattribution des responsabilits pour la
gestion du risque
des processus utiliss pour lidentification
des risques, et de la manire dont le
systme de gestion des risques les prend
en compte

Pour fonctionner efficacement, le processus de


gestion des risques exige :
lengagement du directeur gnral et des
directeurs excutifs de lorganisation,
lattribution des responsabilits au sein de
lorganisation,
lattribution de ressources appropries pour
la formation et le dveloppement dune
sensibilit renforce aux risques chez toutes
les parties prenantes.

des principaux systmes de matrise en


place pour grer les risques significatifs
de la surveillance et de lexamen des
systmes en place

8.2 Rle de lInstance Dirigeante


Linstance dirigeante (par exemple le Conseil
dAdministration) porte la responsabilit de
dterminer lorientation stratgique de
lorganisation et de crer lenvironnement et
les structures pour que la gestion des risques
seffectue efficacement.
Il peut sagir dun comit excutif, un comit
non-excutif, un comit daudit ou toute autre
structure adapte au mode de fonctionnement
de lorganisation et capable dagir en
sponsor de la gestion des risques.

Il convient de rendre compte de toute


dfaillance significative mises jour par le
systme, ou dans le systme lui-mme, ainsi
que des mesures prises pour faire face ces
dfaillances.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

12

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

Linstance dirigeante doit apprhender, au


minimum, en valuant son systme de
contrle interne :

8.4 Rle des personnes responsables de la


gestion du risque

la probabilit que de tels risques se


ralisent,

Selon de la taille de lorganisation la fonction


de gestion des risques peut stendre dun
simple promoteur des risques, un
gestionnaire des risques temps partiel, voire
un dpartement complet de gestion des
risques.

comment les risques inacceptables doivent


tre matriss,

Le rle de la fonction de gestion des risques


doit comprendre les tches suivantes :

la capacit de lorganisation rduire au


minimum la probabilit du risque et son
impact sur les affaires,

dfinir la politique et la stratgie pour la


gestion des risques,

la nature et lampleur des menaces que lon


peut laisser lorganisation supporter dans
le cadre de son activit propre,

tre promoteur principal de la gestion


des risques au niveau stratgique et
oprationnel,

les cots et les avantages des activits de


matrise des risques,
lefficacit du processus de gestion des
risques,
les implications des dcisions de lInstance
Dirigeante en terme de risques.
8.3 Rle des Units Oprationnelles
Les responsabilits des Units
Oprationnelles comprennent :

crer une culture de risque au sein de


lorganisation, avec les actions de
formation approprie,
tablir et la politique de risque internes et
les structures [correspondantes] pour les
units oprationnelles,
concevoir et passer en revue les processus
de gestion des risques,

la responsabilit principale de la matrise


du risque au quotidien,
la responsabilit pour leurs directions de
promouvoir la sensibilit aux risques dans
les units et dy faire connatre les objectifs
de gestion des risques,
lobligation de faire un point rgulier sur la
gestion des risques lors des runions de
direction de manire examiner les
expositions aux risques et redfinir les
priorits la lumire de lanalyse des
risques,
la responsabilit pour leurs directions de
sassurer que la gestion des risques est
intgre ds la conception des projets et
ainsi que pendant tout leur droulement.

coordonner les diverses units


fonctionnelles qui sont amenes donner
un avis sur la gestion des risques au sein de
lorganisation,
dvelopper des processus de rponse au
risque, y compris des plans durgence et de
continuit des activits,
prparer les rapports sur les risques pour
linstance dirigeante et les parties
prenantes.
8.5 Rle de lAudit Interne
Le rle de lAudit Interne est susceptible de
diffrer dune organisation lautre.
Dans la pratique, le rle de lAudit Interne
peut inclure tout ou partie des points suivants:

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

13

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

centrer le travail de laudit interne sur les


risques significatifs, tels quidentifis par
les responsables de lorganisation ; auditer
les processus de gestion du risque dans
lensemble de lorganisation,
fournir des assurances sur la qualit de la
gestion du risque,
soutenir et prendre une part active dans le
processus de gestion des risques,
faciliter lidentification / lvaluation des
risques et former le personnel la gestion
des risques et aux dispositifs internes de
matrise,
coordonner le compte-rendu des risques
linstance dirigeante et au comit daudit
entre autres.
En dterminant le rle le plus appropri, pour
une organisation particulire, lAudit Interne
doit sassurer que les exigences
professionnelles dindpendance et
dobjectivit sont respectes.
8.6 Ressources et Mise en Oeuvre
Les ressources ncessaires pour mettre en
oeuvre la politique de gestion des risques de
lorganisation doivent tre clairement tablies
chaque niveau de gestion et dans chaque
unit oprationnelle.
En plus des autres fonctions oprationnelles
quils peuvent avoir, les personnes impliques
dans la gestion des risques doivent avoir des
rles clairement dfinis dans la coordination de
la politique et la stratgie de la gestion des
risques. Une dfinition tout aussi prcise est
galement ncessaire pour les personnes
impliques dune part dans laudit et lexamen
des dispositifs internes de matrise et dautre
part dans la facilitation du processus de
gestion des risques.
La gestion des risques doit faire partie
intgrante de lorganisation par le biais des
processus stratgiques et budgtaires. Son
rle doit tre soulign lors de l'intgration des
nouveaux employs, lors de toute autre action
de formation, tout comme dans le cadre de
chaque projet oprationnel comme les
dveloppements de produits et de services.

9. Surveillance et Revue du
processus de gestion du risque
Une gestion des risques efficace requiert une
structure de compte-rendu et de revue pour
assurer que les risques sont efficacement
identifis et valus et que les dispositifs de
matrise et les rponses appropries sont en
place. Il convient dauditer rgulirement la
conformit la politique et aux normes, et de
passer rgulirement les performances en
revue pour identifier les opportunits
damlioration. Il faut garder lesprit que les
organisations sont dynamiques et oprent
dans des environnements dynamiques. Les
changements dans lorganisation et dans
lenvironnement dans lequel elle opre doivent
tre identifis et les systmes modifis en
consquence.
Le processus de surveillance doit fournir
lassurance que les dispositifs de matrise
appropris sont en place pour les activits de
lorganisation et que les procdures sont
comprises et suivies.
Les changements dans lorganisation et
lenvironnement dans lequel elle opre doivent
tre identifis et les systmes modifis en
consquence.
Tout procd de surveillance et de revue doit
galement dterminer si:
les mesures adoptes ont produit les
rsultats escompts,
les procdures adoptes et les informations
recueillies pour entreprendre lvaluation
taient appropries,
Une meilleure connaissance aurait aid
prendre de meilleures dcisions et
identifier quelles leons pourraient tre
retenues pour lvaluation et la gestion des
risques dans le futur.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

14

APPENDICE

Ala positif et ngatif

10. Appendice

modle d[inter]dpendance,

Techniques didentification de risque exemples

analyse SWOT forces, faiblesses,


opportunits, menaces,

Brainstorming,

analyse darbre dvnement,

Questionnaires,
[Etudes conomiques] qui observent chaque
processus et dcrivent les processus
internes et les facteurs externes qui peuvent
influencer ces processus,
Comparaisons sectorielles; (benchmarking),

planification de continuit de lactivit,


analyse BPEST (affaires, politique,
conomique, social, technologique),
modlisation des options relles,

Analyse de scnario,

prise de dcision dans des conditions de


risque et dincertitude,

Ateliers dapprciation des risques,

infrence statistique,

Enqutes sur les accidents,

mesures de moyenne et de variance,

Audit et inspection,

PESTLE (Ambiant Lgal Technique Social


conomique Politique).

HAZOP (tudes de Risque et dOprabilite)

Ala ngatif

Mthodes et techniques danalyse des


risques - exemples
Ala positif
tude de march,

analyse des menaces,


analyse de larbre des dfaillances,
FMEA (analyse des modes et effets des
dfaillances).

prospection,
test marketing,
recherche et dveloppement,
analyse dimpact sur lactivit.

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

15

CADRE DE RFRENCE
DE LA GESTION DES RISQUES

Notes du traducteur
La traduction s'appuie autant que possible sur
le "Guide 73 Iso/Iec, Risk managementvocabulary - guidelines for use in standards".
Le tableau ci-dessous commente par ailleurs
certains choix de traduction:

Terme de la version anglaise

Terme franais

Commentaire

internal control

systme de contrle interne

entreprise

organisation

le texte s'applique toutes les


organisations sans perte de sens

the board

l'instance dirigeante

mme remarque

stakeholders

parties prenantes

management

Gestion

standard

cadre de rfrence

risk avoidance

vitement du risque

to control

matriser

knowledge base

capital de connaissance

downside

ala ngatif

upside

ala positif

reporting

compte-rendu

formal

officiel

plus proche de l'intention que


"norme" ou "standard"

AIRMIC, ALARM, IRM : 2002, translation copyright FERMA : 2003.

16

FOR LOCAL INFORMATION, PLEASE CONTACT THE OFFICE OF THE NATIONAL ASSOCIATION

AGERS - Asociacion Espaola de Gerencia de Riesgos y Seguros


Prncipe de Vergara, 86 - 1 Esc., 2 Izda. 28006 Madrid - SPAIN
Tel: + 34-91-562.84.25 Fax: + 34-91-561.54.05 Email: gerencia@agers.es
AIRMIC - The association of Insurance and Risk Managers
Lloyds Avenue, 6 London EC3N3AX - UK
Tel: + 44-207-480.76.10 Fax: + 44-207-702.37.52 Email: enquiries@airmic.co.uk
Web: www.airmic.com
AMRAE - Association pour le Management des Risques et des Assurances de l'Entreprise
Avenue Franklin Roosevelt, 9-11 75008 Paris - FRANCE
Tel: + 33-1-42.89.33.16 Fax: + 33-1-42.89.33.14 Email: amrae@amrae.asso.fr
Web: www.amrae.asso.fr
ANRA - Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali
Viale Coni Zugna, 53 20144 Milano - ITALY
Tel: + 39-02-58.10.33.00 Fax: + 39-02-58.10.32.33 Email: anra@betam.it
Web: www.anra.it
BELRIM - Belgian Risk Management Association
Rue Gatti de Gamond, 254 1180 Bruxelles - BELGIUM
Tel: + 32-2-380.03.94 Fax: + 32-2-370.34.93 Email: info@belrim.com
Web: www.belrim.com
BfV - Bundesverband firmenverbundener Versicherungsvermittler und -Gesellschaften E. V.
Hattenbergstrasse 10, 55122 Mainz - D
Tel. + 49 - 6131 662226 - Fax. + 49 - 6131 662059 - Email. johannes.fischer@schott.com
Web: www.bfv-fvv.de
DARIM - Dansk Industris Risk Management Forening
DK-1787 Copenhagen DENMARK
Tel: + 45-33-77.33.77 Fax: + 45-33-77.33.00 Email: bg@di.dk
DVS - Deutscher Versicherungs-Schutzverband e.V.
Breite Strasse 98 - D 53111 Bonn - Germany
Tel: + 49-228-98.22.30 - Fax: + 49-228-63.16.51- Email: info@dvs-schutzverband.de
Web: www.dvs-schutzverband.de
NARIM - Nederlandse Associatie van Risk en Insurance Managers
Postbus 65707 2506 EA Den Haag THE NETHERLANDS
Tel: + 31-70-345.74.26 Fax: + 31-70-427.32.63 Email: info@narim.com
Web: www.narim.com
SIRM - Swiss Association of Insurance and Risk Managers
Route du Jura, 37- Case Postale, 74 1706 Fribourg - SWITZERLAND
Tel: + 41-26-347.12.20 Fax: + 41-26-347.12.39 Email: sirm@cfcis.ch
Web: www.sirm.ch

ALARM - The National Forum for Risk Management in the Public Sector
Queens Drive, Exmouth - Devon, EX8 2AY
Tel: 01395 223399 - Fax: 01395 223304 - Email admin@alarm.uk.com - www.alarm-uk.com
IRM - The Institute of Risk Management
6 Lloyds Avenue - London EC3N 3AX
Tel: 020 7709 9808 - Facsimile 020 7709 0716 - Email enquiries@theIRM.org - www.theirm.org

FOR MORE INFORMATION ABOUT FERMA

FERMA - RUE DE LA PRESSE 4


1000 BRUSSELS - BELGIUM

PHONE: + 32 2 227.11.44
FAX: + 32 2 227.11.48

EMAIL: info@ferma-asso.org
WEB: www.ferma-asso.org